למרות מתקפות סייבר כמו תוכנת הכופר WannaCry - סקר חדש קובע כי רכיבי קוד פתוח לא מקבלים תשומת לב ראויה מבחינת אבטחת מידע

CA Veracode, המהווה חלק מתחום אבטחת המידע של CA Technologies, פרסמה נתונים ממחקר שנערך עם חברת ונסון בורן, ולפיו רק 52% מהמפתחים המשתמשים ברכיבים מסחריים או ברכיבי קוד פתוח באפליקציות שלהם מעדכנים רכיבים אלה כאשר יש הכרזה על נקודות תורפה חדשות בתחום אבטחת המידע. דבר זה מדגיש את חוסר המודעות של ארגונים לאבטחת מידע ומציב ארגונים בסיכון.
NessPRO, קבוצת מוצרי התוכנה של נס, היא מפיצת מוצרי CA Technologies בישראל.

תהליכי פיתוח תוכנה כגון DevSecOps סייעו לשפר אבטחת מידע של קוד שכותבים המפתחים. אולם, בתהליכי הפיתוח יש חשיבות למהירות וליעילות כדי לעמוד בקצב הדרישות של כלכלת האפליקציות. כתוצאה מכך, מפתחים מסתמכים על רכיבים ה"שואלים" תכונות ופונקציונליות מפרויקטים קיימים וספריות. מהמחקר עולה כי 83% מהנשאלים משתמשים ברכיבים מסחריים או רכיבי קוד פתוח – 73 רכיבים בממוצע באפליקציה.

בעוד שהרכיבים משפרים את יעילותם של המפתחים, והשימוש בהם נחשב כ-best practice, טמונים ברכיבים אלה סיכוני אבטחת מידע. למרות ממוצע של 71 נקודות תורפה באפליקציה הכוללת שימוש ברכיבי צד שלישי, רק 23 אחוזים מהנשאלים דיווחו על בדיקות לאיתור נקודות תורפה ברכיבים, בכל שחרור גירסה. הדבר יכול להיות תוצאה של העובדה שרק 71 אחוזים מהארגונים דיווחו שיש להם תכנית פורמלית לאבטחת מידע של אפליקציות (AppSec).

רק 53% מהארגונים שומרים רשימת מצאי של כל הרכיבים שבאפליקציות שלהם. על פי דוח מצב אבטחת התוכנה לשנת 2017 (SOSS), פחות מ -28% מהחברות עורכות composition analysis באופן שוטף כדי להבין אילו רכיבים נמצאים באפליקציות שלהן.

"אנו יודעים כי מפתחים דואגים ליצירת קוד מעולה, ופירושו של דבר יצירת קוד מאובטח", אמר פיט צ'סטנה, מנהל ה-developer engagement ב-CA Veracode. "כדי להצליח, מפתחים צריכים לדעת בבירור מהי מדיניות אבטחת המידע ומהם הכלים שבאמצעותם ניתן לבדוק אם אכן פועלים לפי המדיניות. כאשר קיימת מטרה ברורה ואנו נותנים למפתחים גישה לכלים אלו, הם יכולים לשלב סריקה, בשלב מוקדם של מחזור החיים של פיתוח המערכות ((SDLC ולקבל החלטות מושכלות הלוקחות בחשבון את אבטחת המידע. כתוצאה מכך אנו רואים שיפור ניכר בפיתוח תוכנה מאובטחת."

הדו"ח מראה כי צוותי הפיתוח (44%) או אבטחת מידע (31%) נוטים להיות אחראים לתחזוקת רכיבי צד שלישי מסחריים ורכיבי קוד פתוח. ככל שגוברת המודעות סביב הסיכונים בקוד פתוח, כך האספקה למפתחים של פתרונות וחינוך להקטנת הסיכון הופכת למרכיב קריטי במפעל התוכנה המודרני, דבר המסייע לבנות אפליקציות טובות יותר, מאובטחות יותר, ובמהירות גבוהה יותר.

לקריאת הדו"ח המלא שנערך בשיתוף עם ונסון בורן, נא ללחוץ כאן. פרטים נוספים על פתרון ה- Software Composition Analysis של CA Veracode ניתן לראות כאן.

מתודולוגיה

CA Veracode ביקשה מוונסון בורן לערוך סקר בקרב 400 מפתחי אפליקציות מארה"ב (200 משיבים), בריטניה (100 משיבים) וגרמניה (100 משיבים) כדי להבין את מידת הבשלות של אבטחת הרכיבים בארגון. הסקרים נערכו באופן מקוון בפברואר 2018.

אודות CA Veracode

CA Veracode, העוסקת בתחום אבטחת המידע ושייכת ל-CA Technologies, מובילה בסיוע לארגונים בכל הקשור לאבטחת התוכנה שלהם. פלטפורמת ה-SaaS והפתרונות המשולבים של Veraode מסייעים לצוותי אבטחת המידע ולמפתחי התוכנה למצוא ולתקן פגמים הקשורים לאבטחת מידע, בכל הנקודות במחזור החיים של פיתוח התוכנה, לפני שהאקרים יוכלו לנצל אותן. ההיצע המלא שלנו מסייע ללקוחות להפחית את הסיכון לחדירה לנתונים, להגביר את מהירות האספקה של תוכנה מאובטחת, לעמוד בדרישות הציות לתקנות, ולאבטח את נכסי התוכנה בצורה יעילה וחסכונית - בין אם מדובר בתוכנה שהם מפתחים, קונים או מוכרים.

Veracode משרתת למעלה מאלף לקוחות במגוון רחב של ענפים, כולל כמעט שליש מרשימת Fortune 100, שלושה מבין ארבעת הבנקים המסחריים המובילים בארה"ב ויותר מ -20 מתוך 100 המותגים בעלי הערך הגבוה ביותר (Most Valuable Brands) של פורבס. ניתן לקרוא על VeraCode ב-www.veracode.com, בבלוג של Veracode, בטוויטר ובקהילית CA Veracode.

לפרטים נוספים: דודו כנען, כנען יחסי ציבור, טל' 054-4255307, דוא"ל [email protected]